Ciamar a tha deagh oifigear tèarainteachd IT eadar-dhealaichte bho oifigear àbhaisteach? Chan e, chan ann leis gu bheil e aig àm sònraichte sam bith a ghairmeas e bho chuimhne an àireamh de theachdaireachdan a chuir am manaidsear Igor an-dè gu a cho-obraiche Maria. Bidh oifigear tèarainteachd math a’ feuchainn ri brisidhean a chomharrachadh ro-làimh agus gan glacadh ann an àm fìor, a’ dèanamh a h-uile oidhirp gus nach lean an tachartas. Tha siostaman riaghlaidh tachartas tèarainteachd (SIEM, bho fhiosrachadh tèarainteachd agus riaghladh thachartasan) gu mòr a’ sìmpleachadh a’ ghnìomh airson oidhirpean brisidh sam bith a chàradh agus a bhacadh.
Gu traidiseanta, bidh siostaman SIEM a’ cothlamadh siostam riaghlaidh tèarainteachd fiosrachaidh agus siostam riaghlaidh tachartas tèarainteachd. Is e feart cudromach de na siostaman mion-sgrùdadh thachartasan tèarainteachd ann an àm fìor, a leigeas leat freagairt a thoirt dhaibh mus tòisich am milleadh a th ’ann.
Prìomh ghnìomhan siostaman SIEM:
- Cruinneachadh dàta agus gnàthachadh
- Co-dhàimh dàta
- Alert
- Pannalan lèirsinn
- Eagrachadh stòradh dàta
- Rannsachadh dàta agus mion-sgrùdadh
- Ag aithris
Adhbharan airson an iarrtas àrd airson siostaman SIEM
O chionn ghoirid, tha iom-fhillteachd agus co-òrdanachadh ionnsaighean air siostaman fiosrachaidh air a dhol suas gu mòr. Aig an aon àm, tha an iom-fhillte de dh'innealan dìon fiosrachaidh a thathar a 'cleachdadh cuideachd a' fàs nas iom-fhillte - siostaman lorg ionnsaigh lìonra agus aoigheachd, siostaman DLP, siostaman an-aghaidh bhìoras agus ballachan teine, sganairean so-leònte, agus mar sin air adhart. Bidh gach inneal dìon a’ gineadh sruth de thachartasan le mion-fhiosrachadh eadar-dhealaichte, agus gu tric chan fhaic thu ach ionnsaigh le bhith a’ toirt thairis air tachartasan bho dhiofar shiostaman.
Tha tòrr rudan ann mu dheidhinn a h-uile seòrsa de shiostaman malairteach SIEM , ach bidh sinn a’ tabhann tar-shealladh goirid air siostaman SIEM stòr fosgailte làn-chuimseach an-asgaidh aig nach eil cuingealachaidhean fuadain air an àireamh de luchd-cleachdaidh no an ìre de dhàta stòraichte a gheibhear, agus a tha furasta an scalable agus le taic. Tha sinn an dòchas gun cuidich seo le bhith a’ measadh comasachd nan siostaman sin agus a’ co-dhùnadh am bu chòir fuasglaidhean mar seo fhilleadh a-steach do phròiseasan gnìomhachais a’ chompanaidh.
AlienVault OSSIM
Is e AlienVault OSSIM an dreach stòr fosgailte de AlienVault USM, aon de na prìomh shiostaman malairteach SIEM. Tha OSSIM na fhrèam anns a bheil grunn phròiseactan stòr fosgailte, a’ gabhail a-steach siostam lorg sàrachadh lìonra Snort, lìonra Nagios agus siostam sgrùdaidh aoigheachd, siostam lorg sàrachadh aoigheachd OSSEC, agus sganair so-leòntachd OpenVAS.
Bidh sgrùdadh innealan a’ cleachdadh AlienVault Agent, a bhios a’ cur logaichean bhon òstair ann an cruth syslog chun àrd-ùrlar GELF, no faodar plug-in a chleachdadh gus amalachadh le seirbheisean treas-phàrtaidh, leithid seirbheis proxy cùl làrach-lìn Cloudflare no siostam dearbhaidh ioma-fhactaraidh Okta. .
Tha an dreach USM eadar-dhealaichte bho OSSIM ann an riaghladh log leasaichte, sgrùdadh bun-structair sgòthan, fèin-ghluasad, agus fiosrachadh bagairt agus lèirsinn as ùire.
buannachdan
- Stèidhichte air pròiseactan stòr fosgailte dearbhte;
- Coimhearsnachd mhòr de luchd-cleachdaidh agus luchd-leasachaidh.
uireasbhaidhean
- Chan eil e a’ toirt taic do sgrùdadh àrd-ùrlar sgòthan (leithid AWS no Azure);
- Chan eil riaghladh logaichean, fradharc, fèin-ghluasad agus amalachadh le seirbheisean treas-phàrtaidh.
MozDef (Àrd-ùrlar Dìon Mozilla)
Tha siostam MozDef SIEM aig Mozilla air a chleachdadh gus pròiseasan làimhseachadh thachartasan tèarainteachd a dhèanamh fèin-ghluasadach. Tha an siostam air a dhealbhadh bhon talamh suas airson an coileanadh as àirde, scalability agus fulangas sgàinidhean, le ailtireachd microservice - bidh gach seirbheis a’ ruith ann an soitheach Docker.
Coltach ri OSSIM, tha MozDef air a thogail air pròiseactan stòr fosgailte le deuchainn ùine, a’ toirt a-steach modal clàr-amais agus sgrùdadh log Elasticsearch, frèam Meteor airson eadar-aghaidh sùbailte lìn a thogail, agus plugan Kibana airson fradharc agus dealbhadh.
Bithear a’ dèanamh co-dhàimh agus rabhadh tachartais le bhith a’ cleachdadh ceist Elasticsearch, a’ toirt cothrom dhut na riaghailtean làimhseachaidh tachartais is rabhaidh agad fhèin a sgrìobhadh a’ cleachdadh Python. A rèir Mozilla, faodaidh MozDef còrr air 300 millean tachartas a làimhseachadh gach latha. Cha ghabh MozDef ach ri tachartasan ann an cruth JSON, ach tha amalachadh le seirbheisean treas-phàrtaidh.
buannachdan
- Na cleachd riochdairean - ag obair le logaichean àbhaisteach JSON;
- Gu furasta scalable le taing do ailtireachd microservice;
- A ’toirt taic do stòran dàta seirbheis sgòthan a’ toirt a-steach AWS CloudTrail agus GuardDuty.
uireasbhaidhean
- Siostam ùr nach eil cho stèidhichte.
Wazuh
Thòisich Wazuh mar fhorc de OSSEC, aon de na SIEMan stòr fosgailte as mòr-chòrdte. Agus a-nis tha e na fhuasgladh sònraichte fhèin le comas-gnìomh ùr, rèiteachadh bug agus ailtireachd làn-leasaichte.
Tha an siostam air a thogail air ElasticStack (Elasticsearch, Logstash, Kibana) agus a’ toirt taic do gach cuid cruinneachadh dàta stèidhichte air àidseant agus in-ghabhail logaichean siostam. Tha seo ga dhèanamh èifeachdach airson sùil a chumail air innealan a ghineas logaichean ach nach eil a’ toirt taic do stàladh àidseant - innealan lìonra, clò-bhualadairean agus iomaill.
Bidh Wazuh a’ toirt taic do riochdairean OSSEC a th’ ann mar-thà agus eadhon a’ toirt seachad stiùireadh mu bhith a’ gluasad bho OSSEC gu Wazuh. Ged a tha OSSEC fhathast air a chumail suas gu gnìomhach, thathas a’ faicinn Wazuh mar leantainneachd de OSSEC mar thoradh air eadar-aghaidh lìn ùr, REST API, seata riaghailtean nas coileanta, agus mòran leasachaidhean eile a chuir ris.
buannachdan
- Stèidhichte air agus co-chòrdail ris an SIEM OSSEC mòr-chòrdte;
- A’ toirt taic do ghrunn roghainnean stàlaidh: Docker, Puppet, Chef, Ansible;
- A’ toirt taic do sgrùdadh seirbheisean sgòthan, a’ gabhail a-steach AWS agus Azure;
- A’ toirt a-steach seata farsaing de riaghailtean airson iomadh seòrsa ionnsaigh a lorg agus a’ leigeil leotha an coimeas a rèir PCI DSS v3.1 agus CIS.
- Amalachadh le siostam stòraidh agus anailis log Splunk, sealladh tachartais agus taic API.
uireasbhaidhean
- Ailtireachd iom-fhillte - Tha feum air làn chleachdadh Elastic Stack a bharrachd air co-phàirtean frithealaiche Wazuh.
Prelude OS
Tha Prelude OSS na dhreach stòr fosgailte den Prelude SIEM malairteach a chaidh a leasachadh leis a’ chompanaidh Frangach CS. Tha am fuasgladh na shiostam modular SIEM sùbailte a bheir taic do dh’ iomadh cruth log, amalachadh le innealan treas-phàrtaidh leithid OSSEC, Snort, agus siostam lorg lìonra Suricata.
Tha gach tachartas air a dhèanamh àbhaisteach ann an teachdaireachd IDMEF, a bhios a’ sìmpleachadh iomlaid dàta le siostaman eile. Ach tha cuileag anns an ointment cuideachd - tha Prelude OSS glè chuingealaichte ann an coileanadh agus comas-gnìomh an coimeas ris an dreach malairteach de Prelude SIEM, agus tha e an dùil barrachd airson pròiseactan beaga no airson a bhith a’ sgrùdadh fuasglaidhean SIEM agus a’ luachadh Prelude SIEM.
buannachdan
- Siostam deuchainn ùine air a leasachadh bho 1998;
- A 'toirt taic do dh' iomadh cruth loga eadar-dhealaichte;
- Normalizes dàta gu cruth IMDEF, a tha ga dhèanamh furasta dàta a ghluasad gu siostaman tèarainteachd eile.
uireasbhaidhean
- Cuingichte gu mòr ann an gnìomhachd agus coileanadh an coimeas ri siostaman SIEM stòr fosgailte eile.
sagan
Tha Sagan na SIEM àrd-choileanadh a tha a’ cur cuideam air co-chòrdalachd le Snort. A bharrachd air riaghailtean taice a chaidh a sgrìobhadh airson Snort, faodaidh Sagan sgrìobhadh gu stòr-dàta Snort agus faodar eadhon a chleachdadh leis an eadar-aghaidh Shuil. Gu bunaiteach, is e fuasgladh aotrom, ioma-snàthainn a th ’ann a tha a’ tabhann feartan ùra fhad ‘s a tha iad fhathast càirdeil do luchd-cleachdaidh Snort.
buannachdan
- Gu tur co-chòrdail ri stòr-dàta Snort, riaghailtean, agus eadar-aghaidh cleachdaiche;
- Tha ailtireachd ioma-snàthainn a’ toirt seachad àrd-choileanadh.
uireasbhaidhean
- Pròiseact caran òg le coimhearsnachd bheag;
- Pròiseas stàlaidh iom-fhillte, a’ toirt a-steach togail an SIEM gu lèir bhon stòr.
co-dhùnadh
Tha na feartan agus na crìochan aca fhèin aig gach aon de na siostaman SIEM a chaidh a mhìneachadh, agus mar sin chan urrainnear an ainmeachadh mar fhuasgladh uile-choitcheann airson buidheann sam bith. Ach, tha na fuasglaidhean sin fosgailte, a’ toirt cothrom dhaibh a bhith air an cleachdadh, air an deuchainn agus air am measadh gun a bhith a’ tighinn a-steach cus chosgaisean.
Dè eile a leughas tu air a’ bhlog?
→
→
→
→
→
Subscribe to our -channel, gus nach caill thu an ath artaigil! Bidh sinn a’ sgrìobhadh gun a bhith nas fhaide na dà uair san t-seachdain agus dìreach air gnìomhachas.
Source: www.habr.com